El TDEH limita la forma en que una empresa puede monitorizar el correo electrónico puesto a disposición de sus empleados

El Tribunal Europeo de Derechos Humanos de Estrasburgo, ha dictado una sentencia en la que establece los límites que deberá cumplir una empresa a la hora de monitorizar el correo electrónico de la misma, puesto a disposición de los trabajadores (y, por extensión, cualquiera otra herramienta informática puesta a disposición de éstos). El TDEH ha fallado que la empresa sólo puede monitorizar las herramientas informáticas puestas a disposición del trabajador, siempre y cuando éste haya sido previamente avisado de que se va a proceder a tal monitorización, así como tras haber recibido, por parte de la empresa, “razones legítimas” para proceder a la monitorización.

El TDEH da así, la razón, al ciudadano Bogdan Barbulescu, de Rumanía, que denunció a su empresa en la que trabajaba como ingeniero, por espiar, sin su consentimiento, el correo electrónico puesto a su disposición por aquélla. La Gran Cámara del Tribunal de Estrasburgo, cuyas sentencias son inapelables, contradice así a la primera sentencia dictada por el mencionado Tribunal, en enero de 2016, que mantenía que, aunque la privacidad de Barbulescu se había visto comprometida, “la vigilancia de sus comunicaciones por parte de su empleador había sido razonable en el contexto de un procedimiento disciplinar”. Esta decisión ha sido enmendada por la nueva sentencia, que establece que la empresa debió avisar a Barbulescu y, además, exponerle “razones legítimas” que justificasen la monitorización.

 

El TEDH se alinea así con la jurisprudencia de nuestro Tribunal Supremo, concretamente, con las STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011, en las que se establece, en el caso de la sentencia de 2007, que la empresa debe avisar al trabajador de que las herramientas informáticas puestas a su disposición van a ser monitorizadas o, en el caso de la sentencia de 2011, que debe existir una prohibición taxativa para el uso de los citados medios informáticos para la actividad privada, siendo que si no se produce esta prohibición expresa, se generaría una “expectativa de privacidad” en el trabajador. El Tribunal Constitucional falló también, en la STC 170/2013, de 7 de octubre, que basta con que el reglamento de uso de los sistemas informáticos o la prohibición expresa de utilización de los mismos para fines privados, aparezcan recogidos en el convenio colectivo al que está adherida la empresa, para que el trabajador se dé por informado.

 

En un artículo escrito por este perito informático en El Derecho, ya se pusieron de manifiesto las directrices que debía seguir una empresa para despedir a un trabajador que estuviera llevando a cabo un mal uso de los sistemas informáticos puestos a disposición por la misma para el trabajador. Es vital, para cualquier empresa que desee cumplir con la legalidad, contar con el auxilio técnico de un perito informático colegiado como asesor tecnológico independiente, al objeto de poner en marcha cualquier mecanismo de monitorización que vaya a afectar a los sistemas informáticos puestos a disposición de los empleados y, por tanto, a los derechos fundamentales de éstos.

Diferencia entre el derecho a la intimidad y el derecho al secreto de las comunicaciones a la hora de realizar un informe pericial informático

A la hora de realizar un peritaje informático en el que vaya a ser expuesta información recibida por un individuo, por ejemplo, un trabajador de una empresa, es necesario tener en cuenta la aplicación, en cada caso, de dos derechos fundamentales muy importantes: el derecho a la intimidad (regulado en el artículo 18.1 de la Constitución Española) y el derecho al secreto de las comunicaciones (regulado en el artículo 18.3 de la Constitución Española). Los citados derechos se encuadran dentro de la Sección 1, del Capítulo Segundo, del Título Primero. Se trata, por tanto, de dos derechos de los denominados fundamentales, es decir, inherentes al ciudadano.

En este supuesto, podríamos encuadrar el peritaje informático de uno o varios correos electrónicos, el peritaje informático de uno o varios mensajes de WhatsApp, o el peritaje informático de los mensajes recibidos en una red social que pudiera ser corporativa. Es decir, el supuesto incluye cualquier tipo de pericial informática que pueda realizarse, en general, a un soporte en el que un sujeto (un trabajador), que no es consciente de que se va a practicar una pericial sobre dicho soporte, ha recibido uno o varios mensajes.

 

Para este tipo de casos, la doctrina del Tribunal Supremo establece que, si bien una empresa puede monitorizar los correos electrónicos de sus empleados, siempre y cuando exista un reglamento interno que los empleados conozcan (STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011), o que, según el Tribunal Constitucional, dicho reglamento esté recogido en el convenio colectivo (STC 170/2013, de 7 de octubre de 2013), existen algunas excepciones, fundamentalmente aplicables en la jurisdicción penal. Así pues, según la STS 528/2014, de 16 de julio de 2014, existe una diferencia importante entre un correo electrónico (o cualquier mensaje, en general) leído y uno no leído. Dictamina el Alto Tribunal que, para que se puedan abrir los correos electrónicos no leídos, es necesaria una orden judicial, aun habiendo firmado, el empleado, un documento aceptando la monitorización, que llevará a cabo la empresa, de los correos electrónicos.

La argumentación del Tribunal Supremo engarza con el artículo 18.2 de la Constitución, que garantiza la inviolabilidad del domicilio, siendo razonable que ningún individuo va a firmar que su domicilio pueda ser violado. Así pues, un correo electrónico leído, será como un sobre abierto en el cajón del empleado, mientras que un correo electrónico no leído, análogamente, será como un sobre cerrado. El Alto Tribunal argumenta que es razonable que un empleado renuncie a su derecho a la intimidad, de tal forma que la empresa pueda leer las comunicaciones ya abiertas por el usuario, pero que no parece razonable una renuncia a su derecho al secreto de las comunicaciones, al objeto de que la empresa pueda abrir los correos electrónicos aún no leídos, máxime si el empleado fuera consciente, de antemano, de las consecuencias de dicha injerencia, siendo que los correos electrónicos no leídos están protegidos por este derecho. Será necesario, por tanto, una autorización judicial para abrir un correo no leído por un empleado, de la misma forma que es necesaria una autorización judicial para intervenir las comunicaciones postales o telefónicas de cualquier persona, o para acceder a su domicilio. El incumplimiento de este precepto constituirá también, según la sentencia, una violación de la tutela judicial efectiva del investigado, derecho fundamental consagrado en el artículo 24.1 de la Constitución.

El perito informático, por tanto, deberá prestar suma atención, cuando esté realizando el análisis forense del buzón de correo electrónico de un empelado, a los correos electrónicos no abiertos por aquél o, si se está realizando la pericial de una conversación de una aplicación de mensajería instantánea, por ejemplo, del WhatsApp del móvil proporcionado al empleado por la empresa, el perito informático deberá tener en cuenta los mensajes que aún no han sido leídos por el empleado. La importancia de tener en cuenta esta situación es capital. El perito informático se enfrenta a una posible denuncia criminal si no respeta los mensajes no leídos del empleado y los añade al informe pericial, ya que estaría violando el derecho al secreto de las comunicaciones del empleado. Según la sentencia, el derecho fundamental al secreto de las comunicaciones, es el más enérgico de todos los derechos protegidos por el artículo 18 de la Constitución, siendo más estricto que, por ejemplo, el derecho a la intimidad (18.1), a la inviolabilidad del domicilio (18.2), o a la protección de los datos personales (18.4), todos ellos recogidos en el artículo 18 de la Constitución, junto al derecho al secreto de las comunicaciones (18.3).

 

Algo a tener muy en cuenta por parte del perito informático es que, si los mensajes, bien sean de correo electrónico, de WhatsApp, o de cualquier otra aplicación, se hallan borrados, es que fueron leídos por el empleado. Esto es un hecho obvio: si los mensajes han sido eliminados, es que han sido previamente leídos. La eliminación de mensajes es una acción que debe realizarse con el concurso del usuario y, por tanto, si el empleado decide eliminar un mensaje, es que lo ha leído. Por tanto, en el informe pericial informático podrán ser incluidos aquellos mensajes que fueron eliminados por el empleado y posteriormente hallados por el perito informático utilizando alguna herramienta de su laboratorio de informática forense.

 

Para finalizar, es necesario recalcar que, el perito informático, debe tener muy en cuenta los derechos fundamentales del empleado, en este caso, los referidos a la intimidad personal y al secreto de las comunicaciones, a la hora de realizar un informe pericial informático sobre mensajes de correo electrónico o de aplicaciones de mensajería como WhatsApp. Existe una diferencia muy importante entre ambos derechos fundamentales y, según la jurisprudencia, la empresa no podrá violar el derecho al secreto de las comunicaciones del empleado si no es mediante una orden judicial, no sirviendo que el empleado haya firmado un acuerdo de conformidad en que sus mensajes van a ser monitorizados, siendo este acuerdo válido, únicamente, para mensajes ya leídos y, por tanto, afectados por el derecho a la intimidad personal.

El perito informático se enfrenta a una denuncia penal si viola, sin autorización judicial, el secreto a las comunicaciones del empleado incluyendo mensajes no leídos de su buzón profesional o WhatsaApp del móvil del trabajo, en el informe pericial.

Aclaraciones sobre el coste económico de una pericial informática

Cuando un potencial cliente (o su abogado) contacta con un perito informático colegiado (es necesario diferenciar entre colegiados y no colegiados, ya que los segundos, en la mayoría de las ocasiones, no poseen ninguna de las titulaciones oficiales requeridas por la LEC y la LECrim), para la posible realización de un informe pericial informático, muchos de estos clientes potenciales se sorprenden a la hora de recibir el presupuesto para la realización de la actividad pericial, considerándolo, habitualmente, muy elevado. A continuación, se expondrán una serie de argumentos al objeto de clarificar el porqué de que una pericial informática, firmada por un perito informático colegiado, tenga el coste que tiene.

 

Es necesario, en primer lugar, recalcar que, el perito informático colegiado, es un profesional con la más alta cualificación técnica posible en informática, habiendo obtenido, como mínimo, una titulación de Ingeniería Técnica e, incluso también, como el perito que suscribe, de Ingeniería Superior. Asimismo, se debe reseñar que, cuando un cliente contacta con un perito informático, lo hace para la realización de un trabajo puntualísimo, es decir, no para que trabaje con él de forma continuada, por lo que el cliente no puede pretender que, el precio que vaya a cobrarse, equivalga a la proporción alícuota de las horas que vaya a invertir el perito informático en el encargo, como si el profesional estuviese contratado a sueldo por el cliente, es decir, en nómina. En definitiva, el perito informático tiene un despacho profesional que mantener, con unos costes asociados muy elevados, tanto económicos como de oportunidad.

 

En primer lugar, además de la titulación superior adquirida en la universidad y el coste de oportunidad que la realización de estos estudios conlleva, deben considerarse, en un despacho profesional de peritaje informático, los siguientes gastos mensuales:

  • Cuota de autónomos
  • Colegiación en el Colegio Profesional de Ingenieros o Ingenieros Técnicos en Informática de la Comunidad Autónoma donde el perito informático ejerza profesionalmente
  • Seguro de responsabilidad civil con una mutualidad de profesionales
  • Cuota para la participación en las listas de peritos judiciales
  • Gastos de publicidad de los servicios ofrecidos por el despacho profesional de peritaje informático
  • Gastos de gestoría
  • Gastos de oficina (alquiler, mobiliario, electricidad, teléfono, Internet, material de oficina, etc.)
  • Herramientas hardware (clonadoras, bloqueadoras, Cellebrite UFED Touch para la extracción forense de dispositivos móviles, etc.)
  • Licencias de software forense (muy costosas, miles de euros al año)
  • Etc.

 

Por otra parte, los costes en formación, son los siguientes:

  • Elevados conocimientos técnicos sobre informática forense y seguridad, muy costosos de adquirir en el mercado y muy difíciles de asimilar técnicamente (un curso de cuarenta horas, puede llegar a costar varios miles de euros)
  • Conocimientos sobre herramientas estándar de informática forense
  • Conocimientos sobre legislación y jurisprudencia
  • Etc.

 

Asimismo, los costes indirectos de un despacho profesional de peritaje informático, son:

  • Asunción de responsabilidad civil y penal por la firma del informe pericial
  • Gestión de la política de protección de datos en el despacho profesional de acuerdo a la Ley Orgánica de Protección de Datos
  • Etc.

 

Y, finalmente, el trabajo pericial a realizar propiamente dicho, que se divide en:

  • Estudio preliminar del caso (estudio de los autos y/o de la documentación asociada)
  • Adquisición de la prueba con todas las precauciones, respetando los estándares nacionales e internacionales sobre peritaje informático y preservando su cadena de custodia, siendo esta parte, normalmente, la más costosa del proceso (ya que es necesario utilizar herramientas como clonadoras, bloqueadoras, Cellebrite, etc., así como, previsiblemente, acudir a un fedatario público para extraer el código hash del soporte original)
  • Análisis forense de la prueba con herramientas de mercado
  • Elaboración del informe pericial, que debe ser muy claro y muy conciso, totalmente comprensible por los juristas a los que va dirigido (juez, fiscal y abogados de las partes)
  • Asistencia a juicio y ratificación bajo juramento (es obligatoria en todas las jurisdicciones si el perito es llamado a declarar y, en la jurisdicción penal, el perito podría incurrir en un delito de obstrucción a la Justicia si no acude al juicio)

 

Por tanto, lo que no se puede pretender es que, un informe pericial informático, de calidad, firmado por un perito informático colegiado, con experiencia y con una excelente trayectoria profesional, sea barato. Un peritaje informático bien ejecutado, puede ayudar al dictado de una sentencia favorable a cualquier acusado, o puede ayudar a ganar un juicio contra la parte contraria. En definitiva, el trabajo de un perito informático puede, si está bien realizado, ayudar a que la Justicia evite la imposición, a un acusado, de cualquier tipo de condena, incluyendo condenas de privación de libertad y económicas, siempre y cuando la pericial demuestre la inocencia o no culpabilidad del acusado. Asimismo, un buen peritaje informático puede ayudar a ganar un juicio contra otra parte en litigio, como por ejemplo, certificando la deficiente ejecución de un contrato de desarrollo de software o, determinando, gracias al peritaje informático de cierto contenido web o de una red social como Facebook, que una ex pareja tenía ingresos extras durante el matrimonio o, la validez de cualquier contrato verbal llevado a cabo mediante mensajes intercambiados por correo electrónico (realizando un peritaje informático sobre correos electrónicos), WhatsApp (realizando un peritaje informático sobre conversaciones de WhatsApp), etc.

Por otra parte, el riego de acudir al auxilio de cualquier profesional sin titulación oficial para la realización de una pericial informática, por muy barata que parezca en contraposición a la elaborada por un perito informático colegiado, es elevado, ya que las leyes procesales civil y criminal, son taxativas en cuanto al carácter oficial de la titulación que debe poseer el perito que dictamine sobre una materia.

 

Un perito informático colegiado es, en resumen, un profesional muy cualificado y que asume una responsabilidad muy elevada, además de tener unos costes asociados muy altos, equivalentes a los de cualquier despacho de cualquier profesional liberal, como el de un médico o un abogado, por lo que un trabajo pericial de calidad, debe ser remunerado adecuadamente.

Un comentario ofensivo en Facebook no es suficiente para despedir a un trabajador

El Tribunal Superior de Justicia de Extremadura, ha dictado una sentencia, en virtud de la cual, un comentario emitido por un trabajador en la red social Facebook, que revestía carácter ofensivo, no puede ser considerado suficiente como para despedir, de forma procedente, a un trabajador. El motivo, básicamente, es el contexto en el que se emite el comentario.

 

El TSJE observa que el comentario se produce, como desahogo, a una situación de desasosiego causada por la muerte de un familiar, de tal suerte que la empresa no le concedió al demandante un día libre para poder acudir al entierro del mismo, ni tampoco los compañeros quisieron sustituirle. Igualmente, se valora, por parte del Tribunal, que el comentario es generalista, es decir, que no ofende a nadie en concreto, ya que en el mismo, no se identifica al receptor del insulto, al igual que se observa que el citado comentario fue emitido desde el domicilio del demandante y no desde el lugar de trabajo. Por otra parte, también se valora que es costumbre en lengua española la utilización de ciertas palabras malsonantes, en el lenguaje coloquial, para expresar frustración -como es el caso- o incluso admiración.

Concurren, por tanto, una serie de causas subjetivas, que permiten valorar desde la óptica de la intencionalidad humana el hecho objetivo de escribir un comentario ofensivo en Facebook, desprendiéndose, según el Tribunal, que lo que el demandante quiere expresar es una “falta de compañerismo” y de “insensibilidad” por parte de la empresa, lo cual no reviste motivos suficientes como para ser despedido. Finalmente, se impone la condena en costas a la recurrente (la empresa).

 

Por último, es importante señalar que, para que un comentario o fotografía insertado en una red social como Facebook tenga validez legal, es totalmente necesario que el mismo se presente mediante informe pericial informático, firmado por un perito informático colegiado. Como ya ha sido explicado en reiteradas ocasiones por este perito informático, la jurisprudencia consolidada del Tribunal Supremo en sentencias como la STS 300/2015 o la STS 754/2015, establece que los pantallazos obtenidos de comunicaciones mantenidas a través de Internet, son susceptibles de haber sido manipulados y por tanto no son válidos como prueba si no han sido autentificados por un perito informático.

Intervención en el Telediario de La 1 de Televisión Española con motivo del ciberataque mundial

Este perito informático fue llamado a participar, como experto informático, en la edición de las 15 horas del Telediario Nacional de Televisión Española, el día 12 de mayo de 2017, con motivo del ciberataque de ransomware que colapsó varias empresas, organizaciones e infraestructuras gubernamentales a nivel mundial, en países como España, Alemania, Reino Unido, Rusia y Estados Unidos, entre otros casi ciento cincuenta países. El vídeo de la intervención se puede consultar a continuación, a partir del minudo 5:31:

http://www.rtve.es/alacarta/videos/telediario/telediario-15-horas-12-05-17/4017398/

 

El ciberataque colapsó infraestructuras, empresas e instituciones en todo el planeta, de un modo muy intenso y poco conocido hasta la fecha, utilizando para ello una variante del ya conocido ransomware WannaCry. La afectación del virus puede observarse en la siguiente imagen:

http://ep01.epimg.net/tecnologia/imagenes/2017/05/13/actualidad/1494661227_809039_1494663041_sumario_normal_recorte1.jpg

 

El método empleado para la propagación del ataque, incluyendo una combinación entre ransomware y gusano informático, fue el aprovechamiento de una vulnerabilidad en el Server Message Block (SMB) de los sistemas operativos Windows, explotada durante largo tiempo por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos, mediante un exploit conocido como EternalBlue, puesto al descubierto por el grupo de hackers The Shadow Brokers el día 14 de abril de 2017. Pese a que Microsoft ya había publicado una actualización de seguridad (MS17-010) el día 14 de marzo de 2017, para la resolución de la vulnerabilidad, a 12 de mayo de 2017, cuando se propagó el gusano, muchas empresas y organizaciones aún no habían actualizado sus sistemas operativos, lo que les convirtio en vulnerables.

 

El objetivo de la propagación fue el habitual en las infecciones por ransomware, de las que este perito informático ya ha escrito en otras ocasiones, como por ejemplo en un artículo publicado en El Derecho, siendo dicho objetivo la petición, en criptomoneda, de un rescate por los archivos cifrados. La novedad, en este caso, fue la forma de propagación: añadido al habitual envío masivo de correos electrónicos, con un adjunto llamativo para que la víctima caiga en la trampa, descargue el archivo, lo abra y el gusano oculto en el mismo comience a cifrar los ficheros del equipo, además, se envía el gusano a todos los ordenadores de la red local, aprovechando la reseñada vulnerabilidad en el SMB de Windows, convirtiendo la infección es especialmente virulenta.

 

Para ver otras apariciones en prensa de este perito informático, consulte la sección de apariciones en prensa.

 

Informe contra pericial informático sobre descarga o distribución de ficheros con contenido ilícito, o protegidos por las leyes de propiedad intelectual

En ocasiones, a un perito informático se le plantea la realización de un informe contra pericial informático, debido, principalmente, a la existencia de un peritaje informático desfavorable, firmado por las Fuerzas y Cuerpos de Seguridad del Estado, en el que se acusa a un individuo de descargar ficheros ilícitos, o de haber colaborado con la distribución de ficheros protegidos por las leyes de propiedad intelectual, condicionado este último caso a la existencia de algún tipo de lucro acompañando a dicha actividad. Los ficheros ilícitos más habituales contienen pornografía infantil y, son ilegales porque su descarga, posesión y distribución está prohibida por el artículo 189 del Código Penal. Sin embargo, dentro de los ficheros protegidos por las leyes de propiedad intelectual, se podrían encuadrar películas, libros, canciones, o cualquier otro tipo de obra susceptible de ser catalogada como creación intelectual.

Por otra parte, ha de comenzarse indicando que, descargarse exclusivamente y sin mediar beneficio económico, archivos protegidos por las leyes de propiedad intelectual, no es delito según circular oficial de la Fiscalía General Estado. Sin embargo, según la misma circular, la obtención de réditos económicos distribuyendo o ayudando a distribuir archivos protegidos, sí es delito según el artículo 270 del Código Penal.

 

En los casos en los que a un usuario se le acusa de posesión y distribución de ficheros ilícitos según el artículo 189 del Código Penal, es decir, pornografía infantil, la investigación suele partir de la denuncia de un usuario cualquiera que, aprovechando que descargarse archivos protegidos para uso privado, como ya se ha indicado, no es ilegal, se descarga una película utilizando algún programa de intercambio de ficheros de tipo P2P (normalmente, eMule), ocurriendo que, cuando lo reproduce, se percata de que el contenido no es el que esperaba. En ese momento, esta persona interpone una denuncia ante la Guardia Civil o el Cuerpo Nacional de Policía, iniciándose una investigación para determinar qué usuarios del programa P2P han descargado o se están descargando el fichero, información que puede obtenerse directamente desde el programa P2P. Es absolutamente recomendable interponer la denuncia, ya que las Fuerzas y Cuerpos de Seguridad del Estado también escrutan y monitorizan, de forma autónoma, la red, al objeto de encontrar delincuentes que estén descargando y compartiendo dichos ficheros, siendo absolutamente imposible para ellos, discriminar quién está realizando una descarga de contenido ilícito porque quiere y quién por error -pudiendo ocurrir, de hecho, que se registre el domicilio y se acuse a una persona que se descargó un fichero de este tipo por error y no denunció-.

Los peritos informáticos de las Fuerzas y Cuerpos de Seguridad del Estado, en ese momento, anotarán todas las direcciones IPs desde las que se ha descargado dicho fichero o desde las que se está descargando, junto a la fecha y hora del momento de la descarga. Posteriormente, en el marco de las investigaciones, se solicitará a las operadoras, el nombre, apellidos y dirección postal de los abonados tras los cuales se hallan dichas direcciones IPs, solicitando al juez correspondiente la entrada y registro domiciliario de cada una de esas personas. En este punto, es importante hacer constar que ya existe jurisprudencia, concretamente la STS 8316/2012, que establece que la identificación de la dirección IP desde la que se cometió un delito informático y su asociación con el abonado en ese momento preciso del tiempo, no es en absoluto una condición necesaria y suficiente para inculpar al mismo en la comisión del delito, tal y como ya advirtió este perito informático en un artículo técnico publicado hace algún tiempo en esta misma página web. Es por esta razón, precisamente, que se produce la entrada y registro domiciliario por parte de las Fuerzas y Cuerpos de Seguridad del Estado, acompañados de un secretario judicial que da fe de la intervención en el domicilio del sospechoso, al objeto de investigar in situ las evidencias informáticas que existan en el domicilio, así como incautarlas y precintarlas para una investigación forense posterior por parte de peritos informáticos policiales.

 

Una vez que los peritos informáticos de las Fuerzas y Cuerpos de Seguridad del Estado han analizado las evidencias, éstos presentarán un informe pericial informático relativo al contenido de las mismas, exponiendo si se ha encontrado material ilícito y si se ha compartido o se hallaba en carpetas compartidas que permitieran su distribución. En este momento, interviene el perito informático contratado por la parte, que deberá analizar dicho informe pericial y valorar la posibilidad de si debe realizarse un contranálisis pericial de las evidencias incautadas o si, únicamente estudiando el peritaje informático de las Fuerzas y Cuerpos de Seguridad del Estado, será suficiente para realizar la contra pericial informática.

En primer lugar, el perito informático de la parte deberá analizar el mantenimiento de la cadena de custodia de las evidencias informáticas, así como comprobar cuándo y dónde se precintaron y desprecintaron las pruebas, en qué momentos el secretario judicial estuvo presente (la jurisprudencia de la STS 1599/1999 le autoriza a no estar presente en el volcado) y, finalmente, si se calcularon y, en su caso, cuándo, los códigos hash de cada una de las pruebas. Posteriormente y, ya en relación a la comisión de los delitos de posesión y distribución de material ilícito según el artículo 189 del Código Penal (pornografía infantil), el perito informático deberá estudiar si realmente existían dichos ficheros ilícitos, si éstos fueron descargados de las instalaciones de eMule o programas de tipo P2P o similares encontradas en las evidencias y, finalmente, si dichos ficheros ilícitos estaban siendo compartidos o si, por el contrario, habían sido apartados y almacenados en carpetas no compartidas, tal y como discrimina la STS 271/2012.

 

Por otra parte, en los casos en que se acusa a uno o varios administradores web o webmasters, de mantener una o varias páginas web desde las que se pueden descargar contenidos protegidos por las leyes de propiedad intelectual, o que mantienen enlaces que permiten la descarga de dichos contenidos desde servidores externos a la propia página web, el perito informático de la parte deberá demostrar que los mencionados administradores no se estaban lucrando con dichas páginas web. Para ello, será necesario analizar el contenido completo de la página web, comprobando la existencia o no de anuncios o de cualquier tipo de publicidad o sistema que pudiera ser susceptible de generar ingresos económicos a los administradores.

Para ello, lo primero sería dejar constancia del contenido de la página web para que éste después no pudiera ser impugnado. Por lo tanto, si la web aún se encuentra online, el perito informático deberá acudir a un notario o utilizar un notario digital como eGarante para certificar el contenido de la web, mientras que si ésta ya no se encuentra online por haber sido retirada mediante orden judicial, el perito informático deberá estudiar los autos y el informe pericial de las Fuerzas y Cuerpos de Seguridad del Estado, con el objeto de determinar si el lucro se estaba o no produciendo, auxiliándose, si es posible, del Archivo de Internet. Igualmente, si es posible, el perito informático de la parte deberá examinar el servidor en el que se hallaba alojada la página web denunciada y realizar un análisis forense del disco duro del mismo, que deberá cumplir con todas las garantías sobre la cadena de custodia en el peritaje informático, al objeto de determinar si efectivamente se estaba o no produciendo el lucro, mediante el uso de publicidad o de cualquier otro tipo de sistemas capaces de generar ingresos económicos.

A este respecto, el Tribunal de Justicia de la Unión Europea ya se pronunció, en una sentencia dictada el día 8 de septiembre de 2016, en la línea de que la publicación de enlaces que permitan el acceso a contenidos protegidos por las leyes de propiedad intelectual, no es delito si no concurre lucro en la actividad, ni tampoco conocimiento, por parte del administrador o administradores web, de que las obras a las que se permite el acceso están protegidas. En esta línea, cabe reseñar la STS 920/2016, en la que se confirma la condena a seis años de prisión a los administradores de la página web Youkioske, desde la que se podían descargar revistas, periódicos y libros protegidos por las leyes de propiedad intelectual y, a través de la cual, los administradores se lucraban mediante publicidad incrustada en dicha página web.

 

El despacho profesional de este perito informático, en Madrid, analiza cualquier caso relacionado con éstas tipologías (posesión y compartición de ficheros ilegales o protegidos por las leyes de propiedad intelectual), así como otro tipo de cuestiones periciales, como análisis de virus y programas espías en teléfonos móviles y tabletas, análisis forense de correos electrónicos, análisis forense de mensajes de WhatsApp o Telegram, análisis forense de discos duros, etc., ofreciendo una solución integral en forma de informe pericial informático, con el que podrá solucionar su problema y ganar el juicio o litigio al que se enfrente. También se realizan contra informes periciales informáticos a otras tipologías de informes realizados por las Fuerzas y Cuerpos de Seguridad del Estado, especialmente aquéllos relacionados con volcados de teléfonos móviles realizados con Cellebrite UFED Touch, o de conversaciones interceptadas a través del sistema de escuchas telefónicas SITEL. La mejor opción para ganar un juicio y evitar o minimizar una condena, es confiar siempre en un perito informático colegiado.

El Tribunal Supremo prohibe la utilización sin permiso, por parte de medios de comunicación, de fotografías subidas a Facebook o compartidas a través de otras redes sociales

El Tribunal Supremo ha sentenciado recientemente, en la STS 91/2017, que un medio de comunicación no puede utilizar, sin permiso explícito y para ilustrar una noticia, una fotografía personal subida a una red social por parte de un usuario. Considera el Alto Tribunal que la publicación de una fotografía sin autorización, es una violación del derecho a la propia imagen, condenando a la demandada (un periódico de ámbito provincial), a indemnizar al demandante con 15000 euros. La sentencia, asimismo, desestima la vulneración del derecho a la intimidad del demandante (por no haberse revelado otros datos personales o familiares distintos a los noticiables), reduciendo a la mitad la indemnización inicialmente establecida en 30000 euros.

 

Desde que se popularizaron las redes sociales, es costumbre por parte de la prensa audiovisual (periódicos, revistas y televisión), bucear y buscar en el historial de Internet del protagonista de cualquier tipo de noticia, para contribuir a que más personas lleguen a la página de aterrizaje de la noticia, alimentados por el morbo de ver la fotografía o un vídeo del protagonista de la misma. A partir de esta sentencia del Tribunal Supremo, los medios de comunicación deberán prestar atención y evitar expresamente la publicación de contenidos audiovisuales privados obtenidos de redes sociales, elaborando directrices o códigos de conducta internos al objeto de advertir a los periodistas de que no podrán utilizar fotografías, vídeos o cualquier otro tipo de contenido audiovisual de particulares en las noticias.

 

Si aun así, un particular se ve afectado por la publicación, sin autorización expresa y por parte de un medio de comunicación, de una fotografía o vídeo privado, obtenido de sus redes sociales, deberá ponerse en contacto con un abogado que inicie un procedimiento civil y, al objeto de realizar una certificación de contenido en Internet que acompañe a la demanda, con un perito informático. Es necesario ser consciente de que, los contenidos de Internet, pueden eliminarse -especialmente, después de haberse iniciado un procedimiento judicial-, desapareciendo para siempre y, teniendo en cuenta que la STS 300/2015 prohíbe taxativamente la utilización de “pantallazos” como pruebas en procedimientos judiciales, necesitándose para ello la realización de un peritaje informático sobre el contenido original, sería necesario que un perito informático realice la certificación del mencionado contenido en Internet (fotografía, vídeo o audio), previamente a su posible borrado.

 

El despacho profesional de este perito informático se halla en Madrid y, en el mismo, se realizan todo tipo de informes periciales informáticos, incluyendo aquéllos relativos a la certificación de contenidos publicados en Internet.

Probando la nueva Cellebrite UFED Touch 2, la mejor herramienta para realizar peritajes informáticos de un smartphone o tablet

Recientemente, ha salido al mercado la nueva Cellebrite UFED Touch 2, la mejor herramienta que tiene a su alcance un perito informático para realizar investigaciones forenses sobre teléfonos móviles inteligentes (smartphones) y tabletas (tablets), un estándar en el sector. El laboratorio forense del perito informático titular de este despacho profesional, ya está equipado con la mencionada herramienta.

 

La Cellebrite UFED Touch 2 es capaz de realizar extracciones forenses, físicas y lógicas (entre otras), del contenido de cualquier dispositivo móvil inteligente, como un smartphone o una tablet. También es capaz de recuperar contenido borrado o eliminado de los terminales, como conversaciones de WhatsApp, Telegram, Facebook Messenger u otras aplicaciones o redes sociales, fotografías, contenido audiovisual como ficheros de audio o vídeo, etc. La efectividad de la herramienta en la recuperación del contenido, es directamente proporcional a la cercanía en el tiempo con la que se produjo el borrado del mismo, debido a que, a mayor tiempo transcurrido desde el borrado de la información, mayor probabilidad existe de que el sistema operativo haya sobrescrito las zonas de memoria liberadas y, por tanto, que la información borrada haya desaparecido definitivamente.
Además, la Cellebrite UFED Touch 2 permite que el perito informático conserve la cadena de custodia de la evidencia, al no ser necesaria una interacción directa con el sistema de ficheros del terminal para extraer la información del mismo.

 

La nueva herramienta, con el objetivo de ayudar al perito informático disminuir el tiempo de extracción física o lógica, tiene una serie de mejoras que se enumeran a continuación:

  • CPU cinco veces más rápida que la Cellebrite UFED Touch
  • Memoria RAM DDR3
  • Disco duro SSD de 128 GB
  • USB 3.1 a una velocidad de 5 Mbps

Asimismo, la Cellebrite UFED Touch 2 incluye una serie de características que simplifican su uso e incrementan la flexibilidad:

  • Pantalla capacitiva multi-táctil de alta resolución (1024), con interfaz gráfica de usuario intuitiva
  • Lector de tarjetas multi-SIM integrado
  • Puerto Mini Display
  • Windows 10

Finalmente, la herramienta presenta nuevas capacidades al objeto de mejorar la portabilidad:

  • WiFi b\g\n\ac (de hasta 350 Mbps)
  • Kit de operación todo incluido, listo para utilizar en las actuaciones de campo (interfaces de conexión más pequeñas y ligeras y disco duro externo)
  • Batería de larga duración

A todas las características expuestas, es necesario añadir las constantes actualizaciones que se pueden descargar para asegurar la compatibilidad con todos los nuevos dispositivos inteligentes que salen al mercado, al objeto de que el perito informático pueda realizar las extracciones de cualquier teléfono móvil o tableta último modelo.

 

A continuación, se muestra cómo un perito informático puede realizar la extracción forense de un terminal Samsung Galaxy S6 para, por ejemplo, realizar un peritaje informático sobre WhatsApp, utilizando la Cellebrite UFED Touch 2. El primer paso es la selección de la marca y el modelo del terminal que va a ser extraído, en este caso un Samsung Galaxy S6 SM-G920F (con versión 6.0.1. de Android), tal y como se puede comprobar a continuación.

 

Una vez seleccionado el terminal en la Cellebrite UFED Touch 2, es necesario proceder a seleccionar el tipo de extracción que va a realizarse, en este caso, física. A continuación, se puede observar una fotografía de la selección realizada.

 

Una vez ejecutado el procedimiento de extracción física estipulado por la propia herramienta, el contenido del terminal comienza a extraerse y a almacenarse en un disco duro externo. Este procedimiento puede visualizarse en la siguiente fotografía.

 

Al finalizar la extracción física del terminal, la herramienta informa del éxito o fracaso de la misma, mediante una pantalla en la que se pueden observar los datos extraídos. Dicha pantalla se puede visualizar fotografía que se adjunta a continuación.

 

Finalmente, la extracción física recién adquirida, deberá ser analizada con el software forense UFED Physical Analyzer, proporcionado también por Cellebrite. A continuación, se puede observar una captura de pantalla de dicho programa, con la extracción física del terminal investigado recién adquirida y cargada, con el IMEI y otros datos identificativos del dispositivo difuminados.

 

Tras haber interactuado con la Cellebrite UFED Touch 2, así como haber ejecutado la extracción forense de un Samsung Galaxy S6 con el mismo, se puede apreciar, con respecto a la versión anterior de la herramienta (la Cellebrite UFED Touch), una importante mejoría en la fluidez del nuevo aparato, así como una mayor rapidez en la extracción forense de los dispositivos inteligentes objetos de investigación.

El TJUE considera la IP dinámica como dato personal frente al Estado

Recientemente, el Tribunal de Justicia de la Unión Europea falló, en la sentencia sobre el asunto C-582/14, a favor de un ciudadano de la República Federal de Alemania, al respecto de la consideración de una IP dinámica, como dato personal que debe ser tratado como tal por el Estado, si concurren determinadas circunstancias. La argumentación de la Curia europea, utilizando un criterio relativo, considera por tanto a la dirección IP dinámica como un dato personal al respecto de prestadores de servicios de la Sociedad de la Información (como por ejemplo, un Estado a través de sus páginas web), siempre y cuando dicha dirección IP dinámica se halle acompañada de otro u otros datos personales que permitieran a un tercero (normalmente, el proveedor del servicio u operador), identificar al usuario, así como que el prestador del servicio pudiera tener un interés legítimo en identificar al mencionado usuario, como por ejemplo para prevenir ataques informáticos contra páginas web estatales. Este criterio, está en contraposición con el criterio objetivo que siguen entidades como la Agencia Española de Protección de Datos, que consideran a la dirección IP, estática o dinámica, como un dato personal bajo cualquier circunstancia.

 

Así pues, si una entidad prestadora de servicios de la Sociedad de la Información, dispone de una dirección IP que, combinada con otros datos como la fecha de conexión, es capaz de permitir a un tercero la identificación del usuario y, el prestador del servicio pudiera tener un interés legítimo en identificar a dicho usuario, dicha dirección IP dinámica tendría la consideración de dato de carácter personal. Esto significa que, para que la dirección IP dinámica registrada por un prestador de servicios de la Sociedad de la Información sea considerada como dato personal, deben concurrir los siguientes supuestos:
• Que exista una tercera entidad, como el operador, capaz de identificar al usuario a través de la dirección IP y otros datos combinados con ésta, como la fecha de conexión.
• Que el prestador de servicios de la Sociedad de la Información, debido a un interés legítimo para conocer la identidad del abonado, disponga de recursos legales para averiguar la mencionada identidad a través del proveedor de acceso al servicio.

 

Las consideraciones expuestas derivan de la definición que, el artículo 2.a) de la Directiva 95/46/CE sobre protección de datos, otorga a los datos personales, definiéndolos como “toda información de una persona física identificada o identificable”. La clave radica en la palabra “identificable”. En primera instancia, la demanda fue rechazada y el Tribunal de Apelación condenó al Estado Alemán a borrar la dirección IP cuando fuese acompañada de algún dato que permitiese revelar la identidad del usuario, como la dirección de correo electrónico. Sin embargo, dicho Tribunal consideró que no procedía obligar al prestador del servicio de la Sociedad de la Información (en este caso, el Estado), a borrar la dirección IP acompañada de la fecha de conexión, puesto que la identificación del abonado no puede realizarse de forma directa, sino a través del operador.

Por el contrario, el TJUE, acogiéndose a la definición ya expuesta sobre lo que es un dato personal según la Directiva Europea sobre protección de datos, que considera que un dato personal es también aquél que permite identificar al usuario de forma indirecta (sujeto “identificable”), ha fallado que la dirección IP dinámica, acompañada de la fecha de conexión, es un dato personal.

 

El perito informático que escribe estas líneas, ya desgranó en su día la dimensión jurídica de la dirección IP en un artículo técnico sobre peritaje informático, así como la manera en que el perito informático debe afrontar la realización de un informe pericial informático en el que, de una forma u otra, alguna de las pruebas del proceso se asiente sobre la identificación de un abonado con una determinada dirección IP. También se desgranó, en otro artículo técnico, cómo el perito informático puede asesorar técnicamente a una empresa u organización en la consecución de sus objetivos tecnológicos.

En línea con la asesoría tecnológica que puede prestar un perito informático, aplicada a lo que se explica en al presente artículo, se puede deducir fácilmente que, si la fecha de conexión no acompañase a la dirección IP, ésta no tendría que ser obligatoriamente considerada como dato personal, siendo su tratamiento completamente distinto. Para ello, sería necesario que los datos fuesen sometidos a un proceso denominado disociación o anonimización, de tal forma que, al final del mismo, ningún usuario quede identificado ni pueda ser identificable. Dicho procedimiento aparece regulado en el artículo 3.f) de la Ley Orgánica de Protección de Datos, así como en el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la mencionada Ley Orgánica. Igualmente, el Dictamen 05/2014 sobre técnicas de anonimización, publicado por el Grupo de Trabajo sobre la protección de las personas en lo que respecta al tratamiento de datos personales, ofrece una serie de técnicas que deben seguirse, a nivel europeo, en cualquier proceso en el que se desee disociar o anonimizar datos personales, de tal forma que cualquier perito informático podría ayudar, a cualquier organización, a poner en marcha dichas técnicas al objeto de disociar o anonimizar los datos personales que maneje la mencionada organización.

 

La disociación o anonimización de datos es un proceso técnico muy complejo, en el que únicamente un perito informático colegiado conocedor de la Ley, las técnicas informáticas disponibles y la forma en que éstas pueden ser implementadas, puede ayudar a una organización, a disociar los datos personales de terceros que dicha organización maneje, evitando que ésta pueda ser denunciada por operar con datos personales sin que éstos tengan tal consideración y tratamiento.

El perito informático frente a la propiedad intelectual del software

La propiedad intelectual del software es un asunto controvertido. La propiedad intelectual de los programas informáticos o software, se rigen, en España, como cualquier otra obra susceptible de ser catalogada como intelectual, bajo la Ley de Propiedad Intelectual, siendo que esta ley incluye, en su texto, la Ley 16/1993, de 23 de diciembre, de incorporación de la Directiva 91/250/CEE, de 14 de mayo, sobre la protección jurídica de programas de ordenador. Así pues, en primer lugar, lo que se hace necesario es determinar qué es un programa de ordenador.

Un programa de ordenador, según el artículo 96.1, correspondiente al Título VII de la Ley de Propiedad Intelectual, es “toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación”.

Asimismo, el mismo artículo indica, en el siguiente párrafo que, “a los mismos efectos, la expresión programas de ordenador comprenderá también su documentación preparatoria. La documentación técnica y los manuales de uso de un programa gozarán de la misma protección que este Título dispensa a los programas de ordenador”. Por tanto, un programa de ordenador no sólo comprende las instrucciones o código fuente del mismo, sino también y, no menos importante, la documentación asociada a éste.

 

Así las cosas, en varias ocasiones, un perito informático es requerido para la realización de un informe pericial informático que dictamine si la autoría de la propiedad intelectual de un determinado sistema informático, le corresponde a una determinada persona física o jurídica o no. El perito informático, en este caso, deberá analizar, en primer lugar, la relación existente entre el demandante de la autoría de la propiedad intelectual y el demando, pudiendo ser dicha relación laboral o comercial. Asimismo, el perito informático tendrá que determinar, mediante investigación técnica, qué personas físicas crearon realmente el software, puesto que, aquellas personas que reclaman la autoría de un desarrollo informático, no siempre son realmente los que desarrollaron el sistema.

En el caso de tratarse de una relación laboral, la autoría de la propiedad intelectual siempre corresponderá a la empresa desarrolladora, salvo pacto contractual en contrario, mientras que la autoría moral corresponderá siempre al desarrollador o desarrolladores del sistema. Si la relación es comercial, la autoría de la propiedad intelectual siempre recaerá sobre la empresa desarrolladora, salvo especificación de lo contrario en el contrato. Por tanto, a esta empresa le corresponderán, en principio, los derechos de explotación del programa, es decir, los derechos de reproducción, comunicación pública, transformación y distribución.

A tales efectos, cuando se produzca la cesión del derecho de uso de un programa de ordenador y, salvo especificación de lo contrario en el contrato, se entenderá que dicha cesión no es exclusiva, asumiendo simplemente que ésta se produce para satisfacer las necesidades del usuario. Por otra parte, dadas las peculiaridades de un sistema informático, existen en la Ley de Propiedad Intelectual una serie de disposiciones aplicables únicamente a éstos, recogidas en el artículo 100 de la mencionada ley, que se resumen en las siguientes:

a) La primera, se refiere a la no necesidad de autorización al cesionario, salvo acuerdo contractual en contrario, por parte del titular de los derechos de propiedad intelectual, es decir, de la empresa desarrolladora, a modificar el programa, siempre y cuando dicha modificación se lleve a cabo para corregir determinados errores o que esta modificación sea necesaria para la utilización del programa por parte del usuario legítimo (el cesionario), con arreglo a la finalidad propuesta. La STS 492/2003, de 17 de mayo, confirmó este artículo de la ley, haciendo prevalecer el derecho del cesionario a la modificación del programa para la corrección de errores, sobre el derecho de propiedad intelectual de la empresa desarrolladora.
b) La segunda, se refiere a que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, no necesitará otorgar autorización al cesionario para que éste realice versiones sucesivas del programa.
c) Por último, la tercera, indica que, salvo acuerdo contractual en contrario, la empresa desarrolladora y titular de los derechos de propiedad intelectual, tampoco necesitará otorgar autorización para que el cesionario realice los cambios oportunos en el programa al objeto permitir la interoperabilidad del mismo con otros programas.

La Ley de Propiedad Intelectual no distingue, en ningún momento, la regulación de los programas desarrollados a medida respecto de los programas estándar o paquetes de software, por lo que estos planteamientos permitirían, en principio, la posible utilización de programas de ingeniería inversa, capaces de reconvertir el código objeto, ejecutable directamente por un ordenador, a código fuente, legible y modificable por un programador, de cualquiera de estos paquetes, siempre dentro del marco de la corrección de errores, el arreglo a la finalidad propuesta y el hecho de que no existiese un acuerdo contractual en contrario. La realidad, sin embargo, es que la mayoría de los contratos de uso, conocidos como EULAs (End User License Agreement) o, en castellano, CLUFs (Contrato de Licencia para el Usuario Final), de los paquetes de software de pago más importantes del mercado, disponen que el usuario no podrá modificar, bajo ningún concepto, los programas informáticos que han sido adquiridos bajo licencia de uso.

 

Con respecto a los desarrollos de software a medida y, salvo disposición contractual en contrario, la entrega del código fuente al cesionario no significa la transmisión de los derechos de propiedad intelectual sobre el programa desarrollado, sino únicamente los derechos de uso del mismo.

Por otra parte, la empresa desarrolladora puede, en calidad de depositaria de los derechos de propiedad intelectual del software (siempre que el contrato no indique la contrario), tomar medidas para evitar la distribución no autorizada del mismo. Asimismo, la empresa contratante también puede protegerse de la quiebra de la empresa desarrolladora y, por tanto, de la dificultad o imposibilidad de acceder a los fuentes para, como la ley y la jurisprudencia le asisten, poder modificarlos en caso de que se presente la necesidad de corregir errores, de evolucionar el programa o de permitir la interoperabilidad del programa con otros programas. Este tipo de medidas de protección, que pueden tomar tanto la empresa desarrolladora, como la contratante, se recogen en los mencionados contratos de escrow, siendo el escrow una modalidad contractual anglosajona, en la que las partes se sirven de un tercero independiente (third party), en el cual ambos confían, para garantizar el cumplimiento de las obligaciones de la otra parte.

La característica más importante del contrato de escrow, aplicado al desarrollo de software, es el depósito del código fuente ante dicho tercero independiente. En España, el depósito de dichos fuentes se realiza, normalmente, ante notario, en calidad de fedatario público, figura que es completamente distinta al notary del sistema anglosajón (common law). El notario que, al tratarse de una modalidad de contrato de desarrollo de software, es conveniente que también se apoye en un perito informático colegiado, como asesor tecnológico independiente, desarrollará las cláusulas del contrato de escrow según la voluntad de las partes y lo hará firmar a ambas, en presencia, si se estima oportuno, del perito informático, que habrá supervisado el contenido puramente técnico del contrato, asesorando a la parte que le hubiere contratado o, a ambas, de forma absolutamente independiente, si le hubieren contratado las dos partes.

 

En el caso de que las partes no hayan pactado ninguna cláusula al respecto en el contrato de desarrollo a medida, se considera que la propiedad intelectual del software desarrollado corresponde a la empresa desarrolladora pero, tal y como se ha indicado, le Ley de Propiedad Intelectual y la jurisprudencia del Tribunal Supremo, autorizan a la contratante a modificar el código fuente, dentro de lo razonable y siempre que sea necesario para el correcto funcionamiento del programa, sin necesitar la autorización del titular de los derechos de propiedad intelectual.

Las partes pueden pactar en el contrato, además, un acuerdo de licencia de uso con carácter indefinido, o una propiedad intelectual compartida del software desarrollado, de tal forma que una de las empresas, la que se pacte, tenga la potestad de comercializar el software, teniendo la otra parte derecho a recibir un canon o contraprestación por dicha comercialización. Evidentemente, para la empresa contratante, lo más interesante será siempre la transmisión de los derechos de propiedad intelectual por parte de la empresa desarrolladora.

Asimismo, respecto de los derechos de explotación, a lo sumo, sería posible una cesión en exclusiva e ilimitada en el tiempo, cuestión que, de acuerdo con la Ley de Propiedad Intelectual, deberá pactarse expresamente en el contrato porque, de lo contrario, se entenderá que la cesión es de carácter no exclusivo, lo que implicará que la empresa desarrolladora podría distribuir el programa a otros clientes. Así pues, en principio y, de acuerdo con la Ley de Propiedad Intelectual, se presume que el desarrollador licencia el uso del programa desarrollado, salvo que se pacte expresamente la transmisión de la propiedad intelectual.

La realidad del mercado establece que, lo más habitual, es pactar la exclusividad en el desarrollo, de tal forma que la empresa desarrolladora no podría, bajo ningún concepto, comercializar a otras empresas el programa desarrollado, teniendo en cuenta, sobre todo, que muchas de estas potenciales empresas serías competidoras de la contratante. Es necesario tener en cuenta en este caso que, la contratante, estaría prestando sus ideas y financiando el desarrollo del software, de tal forma que, si no se pacta la referida exclusividad, éste podría ser vendido posteriormente a empresas que, seguramente, serían potenciales competidores de la misma.

La diferencia entre los contratos de tipo EULA o de adhesión, ya mencionados anteriormente y, un desarrollo a medida, es que en el primer caso, el comprador no tiene más remedio que aceptar las condiciones de la empresa desarrolladora o distribuidora y, en el segundo caso, las partes negocian. Es más, es altamente recomendable que negocien, ya que es importantísimo determinar, en el contrato, si se cede el código fuente y si la contratante tendrá el derecho a modificar el programa sin el permiso de la desarrolladora, quedando estas cuestiones por defecto absolutamente de parte de la contratante. Es decir, si no se especifica ninguna cláusula aludiendo a esta cuestión en el contrato, la ley y la jurisprudencia autorizan a la contratante, sin contar con la autorización de la desarrolladora y, tal y como se ha venido indicando en el presente artículo, a modificar el software, bien para corregir errores, bien para evolucionarlo o bien para conseguir su interoperabilidad con otros programas.

 

El matiz principal entre la Ley de Propiedad Intelectual y la STS 492/2003, de 17 de mayo, es que antes de la sentencia, se daba por hecho que, si no se había especificado ninguna cláusula contraria en el contrato, la empresa desarrolladora conservaba los derechos de explotación, cediéndose únicamente a la contratante, los derechos de uso de manera no exclusiva, es decir, supeditándolo todo a lo negociado en el contrato. Sin embargo, a partir de la mencionada sentencia, se entiende que, por defecto, es decir, si no se especifica ninguna cláusula contraria en el contrato, la contratante tiene todo el derecho a poder modificar el software, sin autorización de la desarrolladora, con arreglo a continuar utilizándolo al objeto de cumplir con la finalidad para la que fue concebida el mismo.

Por tanto, se entiende que, salvo disposición contractual en contrario, la ley y la jurisprudencia asisten a la empresa contratante en el hecho de que, la empresa desarrolladora, deberá cederle el código fuente a la primera, al objeto de que ésta pueda modificar el software de acuerdo a las necesidades de utilización del mismo con arreglo a la ya mencionada finalidad propuesta.

Como conclusión, se extrae que la redacción del contrato es parte fundamental en el desarrollo a medida de un sistema informático, puesto que absolutamente cualquier vicisitud o eventualidad posterior se someterá al mismo, razón por la cual es imprescindible contar, por ambas partes, con la asesoría legal y técnica más especializada, es decir, con un abogado especialista en propiedad intelectual y con un perito informático colegiado, que actúe como asesor técnico independiente.